일요주간 - 6만 명 정보 유출에도 ＂일부 누락일 뿐＂… 김정문알로에, 안일한 보안 인식 ′도마 위′

▲ 최연매 김정문알로에 회장 (사진=newsis)

[일요주간 = 김상영 기자] 건강기능식품 및 화장품 제조업체 김정문알로에(회장 최연매)에서 약 6만 명에 달하는 고객 개인정보가 해킹으로 유출된 사실이 뒤늦게 확인됐다. 특히 이번 사고는 14년 전 폐쇄된 쇼핑몰의 백업 데이터가 제대로 파기되지 않고 방치되면서 발생한 것으로 드러나 기업의 개인정보 관리 소홀에 대한 비판이 커지고 있다.

6일 김정문알로에 따르면 지난달 27일 오전 9시경 서버에 대한 외부 침해 사고를 감지했다. 자체 조사 결과 지난 2012년 운영을 종료한 과거 쇼핑몰 이용객 약 5만 9000명의 정보가 유출된 것으로 파악됐다.

유출된 항목은 이름, 아이디, 비밀번호, 주소, 전화번호, 이메일 등이다. 주민등록번호나 신용카드, 계좌번호 등 금융 정보는 포함되지 않은 것으로 알려졌다. 회사 측은 사고 인지 즉시 한국인터넷진흥원(KISA)과 개인정보보호위원회에 신고하고 해당 웹사이트에 남아 있던 정보를 파기하는 등 보안 조치를 완료했다고 밝혔다.

▲ 김정문알로에 홈페이지 개인정보 유출 안내 공지사항. (사진=김정문알로에 홈페이지 갈무리)

이번 사고의 핵심 쟁점은 개인정보보호법상 ‘지체 없는 파기’ 의무 준수 여부다. 개인정보보호법 제21조에 따르면 보유 기간이 경과하거나 처리 목적이 달성된 개인정보는 즉시 삭제해야 한다.

이에 대해 김정문알로에 홍보실 관계자는 본지와의 통화에서 “당시 파기를 한 것으로 판단했으나 메인 서버가 아닌 데이터 백업 서버 쪽에 일부 정보가 남아 있었던 것으로 확인됐다”며 관리상의 허점을 인정했다. 그러나 6만 명에 육박하는 유출 규모에 대해서는 “정보를 재가공해 사용한 것이 아니기에 일부 누락으로 판단하고 있다”고 해명했다.

◇ 단순한 비밀번호 체계… 2차 피해 확산 주의 

보안 수준이 낮은 과거 시스템의 허점도 고스란히 드러났다. 유출된 비밀번호는 숫자 4자리 이상의 단순한 형태로 현재의 보안 기준(8자리 이상, 영문·숫자·특수문자 조합)에 미치지 못한다. 회사는 현재 운영 중인 쇼핑몰과는 연동되지 않아 직접적인 도용 가능성은 낮다고 설명하면서도 동일한 비밀번호를 타 사이트에서 사용하는 고객들의 2차 피해를 방지하기 위해 출처가 불분명한 문자나 이메일에 유의해달라고 당부했다.

◇ 당국 조사 중… 보상 계획은 ‘검토 단계’ 

현재 개인정보보호위원회는 이번 유출 사고의 정확한 경위와 추가 피해 여부를 조사 중이다. 김정문알로에 측은 “현재까지 접수된 2차 피해 사례는 없다”며 “비상대응팀을 운영 중이며 조사 결과에 따라 공식 입장 표명과 필요한 보상 계획 등을 마련하겠다”고 밝혔다.

하지만 10년이 넘는 기간 동안 고객 정보를 방치했다는 점에서 관리 태만에 대한 책임론은 피하기 어려울 전망이다. 유출 피해 고객들은 공지된 별도의 페이지와 안내 문자, 이메일을 통해 본인의 유출 여부를 확인할 수 있다.

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]